配置 Barbican 组件

Barbican 是 OpenStack 的一个组件，它存储、置备和管理机密数据。它充当 VMware Integrated OpenStack 的密钥管理器。

安装或升级到 VMware Integrated OpenStack 5.1 时，使用简单的加密插件即可启用并配置 Barbican。部署后，可以修改配置以使用密钥管理互操作性协议 (KMIP)。

注：

使用 Barbican，租户必须显式授予 barbican 用户对位于您部署中的项目的证书、密钥和 TLS 容器的访问权限。如果您不希望租户配置 ACL，则可以修改 custom-playbook.yml，以便授予 barbican 用户对存储在 Barbican 中的所有对象的访问权限。由于租户可能会将与 LBaaS 无关的对象存储在 Barbican 中，因此请在继续之前确保您了解并接受此操作的安全问题。

要授予 barbican 用户对存储在 Barbican 中的所有对象的访问权限，请在 /etc/barbican/policy.json 文件中指定 "rule:all_users" 作为 secret:get 和 container:get 的值。

过程

登录到 OpenStack 管理服务器。

配置 Barbican 使用 KMIP 插件。

sudo viocli barbican --secret-store-plugin KMIP --host kmip-server --port kmip-port --ca-certs ca-cert-file [--certfile local-cert-file --keyfile local-key-file --user kmip-user --password kmip-password]

根据环境中的 KMIP 实施情况，可能需要仅包含 --certfile 和 --keyfile 参数，仅包含 --user 和 --password 参数，或者包含全部这四个参数。

结果

Barbican 使用 KMIP 而不是简单加密。

注：

如果密码负载采用纯文本，则租户现在创建密钥时必须包含 --secret-type passphrase 参数。

下一步做什么

现在，租户可以配置 LBaaS v2.0。有关说明，请参见配置 LBaaS v2.0。